goo blog サービス終了のお知らせ 

Syslog of Sysmin

なんちゃってシステム管理人の仕事をすることになったSysminのmessagesです。
情報セキュアドを受験すっかな。

ワイヤレスに強くなった?

2005-05-02 23:58:05 | NW_Magazin
もう既に5月、そしてGWも終わちゃうよー!
という時期になって日経NETWORKの4月号を読みました。

特集1「いまこそワイヤレスに強くなる」が興味深かったので、ちょっとまとめ。

今後のワイヤレス技術は、次に3つの技術で高速化

■OFDMの特徴
・多くの搬送波(サブキャリア)を用意し、それぞれのサブキャリアでデータを並列送信。
・サブキャリアは「直交性」という性質を持ち、これにより周波数帯域が重なった場合でもサブキャリアを取り出すことができる。
・ノイズ、マルチパスに強い。
・次世代無線LAN IEEE802.11nで使用される。

■MIMO
・複数のアンテナを使用し、これにより複数チャネルでデータを並列送信できる。
・送信データはアンテナ数分に分割され送信される。
(同じ搬送波を変調し、送信経路を複数使用し並列送信している。)

■UWB
・広い周波数帯域を使用することで、伝送速度を向上させる。
・標準化されていない。
・パルス波形の減衰が激しいため、距離が長くなると急激に伝送速度が低下する。

ざっとSysmin的にまとめてみましたが、この記事については、日経NETWORKを読むと分かりやすく図解され、ワイヤレスの仕組みがわかります。
図がないと、わからないですよね。

ソフトバンクの秘策だって!

2005-05-01 16:12:51 | NW_Magazin
今週のはじめに、ちょっと本屋に寄ったら、こんなタイトルの雑誌(東洋経済)がありました。
【通信・放送「大融合」の主役 ソフトバンクの秘策】
Sysminも同業界に生息しているので、迷わず購入しました。

最近は、IT関連の会社というと、ソフトバンク、ライブドア、楽天が頭に浮かぶ感じですね。

で、以下、Sysmin的要約です。
・世界一安いブロードバンドの提供と無料モデムの配布による業界トップの会員数を獲得したヤフーBBが、このネットワークに流すコンテンツをテレビ局とのアライアンスによって確保する構想

・打倒NTT戦略の「おとくライン」と現状の弱い財務体質を改善するための、新たな戦略である1.7GHz帯の携帯電話事業への新規参入ができるかどうか?と参入ができた場合のブロードバンドIP携帯電話構想

・現在までの株の売却による資金調達とヤフーによる収益体質を変えていけるかどうか?

Sysmin的には、ソフトバンクのグループ構造や営業利益などが図としあるが、ここに興味を惹かれましたね。
「んーそうなんだ!」って・・

通信と放送の融合については、何年か前から言われていましたが、フジテレビとライブドアの件で世間的にも、そういう意識が植え付けれれたといったところかな?
これがきっかけで、ちょっと加速するかもと期待。
ブロードバンドユーザには、メリット大なはずと思ってます。
で、ここで取り上げられている問題としては、コンテンツの著作権です。これをクリアするようなビジネスモデルを確立することと・・今ある固定観念を変えないと難しそうな気がしますね。

Skypeってなんだ?

2005-01-14 23:50:57 | NW_Magazin
日経NETWORKの記事で、毎月チェクする連載に「話題の技術のここが知りたい」と言うのがあり、今回は「PCベースのIP電話 Skypeの動きを知る」と言う記事でした。PCベースのIP電話かぁー・・とあまり期待していなかったのですが、読んでみて「こんな仕組みでサービスを提供するなんて、すごい!と言うか恐ろしい!」と思ってしまいました。
以下、そんな仕組みについてのまとめ

■主な3っの特徴
①やすい
②使いやすい
③品質が高い

①について
・大規模サーバを用意せず、スカイプが用意するのは、認証サーバのみである。
・認証後のユーザ情報は、スーパーノードと呼ぶ、特定の条件に合ったユーザPCで管理する。
・ユーザ情報を管理するスーパーノードは、階層構造を形成し分散管理される。

まず驚くのが、ユーザのPCを勝手にスーパーノードにしてしまうことである。記事には、PCの動作に悪影響を及ぼさないとあるが、「本当かよ!」と思ってしまいました。少なからず、リソースは食われるはずである。SysminのPCは、スーパーノードに成るようなスペックではないと思うが・・・
普通なら「スーパーノードなんかになりたくない!」って思うような気がします。だぶん契約約款に、スーパーノードのことは書いてあるんでしょうね。

このような構成をとるため、スカイプ的には接続時の認証サーバのみを準備すればよく、設備コストを抑えることができるようです。「へー!」


②については、NATを使用していてもOKと言うものです。
以下、簡単なフローです。

1.リレーサーバが選出されます。
2.ユーザそれぞれがリレーサーバに対し送信元ポートを通知する。
3.IP電話をかける側は、宛先のユーザのポートをリレーサーバから教えてもらう。
4.通知されたポートに対しパケットを送信する。

このような仕組みで、NAT越えができる機能を持つらしく、通常NATなどを使用した場合、送信元ポートに対して応答が帰ってくる仕組みなので、NATを利用するPCが受信側となる場合、このポートが分からない為、通信を行うことができない。これを解決する為、Skypeソフトでは、リレーサーバというPCにあらかじめ送信元ポートを通知しておき、このリレーサーバが、IP電話を開始する際に、相手の宛先ポートを通知してくれ、通信が開始できると言うような仕組みのようです。
(んー何を書いているか分からないぞ。というか説明って難しいですね。)

リレーサーバについては、スーパーノードと同様にユーザのPCが自動で選ばれリレーサーバになるようです。


③について
通信品質をどうやって保つかですが、以下のような仕組みがあるらしいです。

その1
・通信状態をチェックする。
・その状態に応じて、音声符号化速度を最適な値に変更する。
(24k~128kまでの間で変化する。)

その2 リレーサーバを経由する場合
・通信経路を複数確保する。
・通信状態のよい経路を選択する。


Sysminの知っているIP電話の仕組みと、かなり異なりまた、ユーザのPCをサーバとして使用してしまうところなど、「驚くような仕組みのサービスなんだなぁ」と感心しました。「話題に技術・・」の記事になるだけのことはありますね。

IEEE802.1Xってなんだ?

2004-12-23 03:04:55 | NW_Magazin
日経NETWORKの記事のまとめです。
んー802.1Xかぁ。
検疫ネットワークとか、この技術を使用しているので旬な記事ですね

■IEEE802.1Xってなに?
一言でユーザ認証技術です。
通常は、以下のような3つの構成になっているようです。

①サプリカント:認証されるクライアントにインストールするソフト
②認証装置:802.1X対応のアクセスポイントで、スイッチなど
③認証サーバ:RADIUS

■認証手順は?
EAPというものを使用します。(なんだ?)
クライアントがはじめにネットワークへ接続した時に、MACフレームにこのEAPが挿入され、それを受信した認証装置が、認証サーバへIPパケットにして転送します。
認証に成功すると暗号化に使用する鍵やVLANなどの情報が渡されネットワークへ接続が可能となります。

■使用できる認証方式は?
WindowsXPの場合は、以下3つ

①EAP-MD5:ユーザIDとパスワードを使用(主にイーサネットで使用)
②EAP-TLS:デジタル証明書を使用して認証
③PEAP:ユーザIDとパスワードを使用(主に無線LANで使用)

①と③については、両方ともIDとPWによる認証で、認証には「チャレンジレスポンス」と言う計算値がネットワーク上を流れます。PWが直接流れることはないが、盗聴の簡単な無線LANでは、チャレンジレスポンスを多く収集することで、PWを推測される可能性があります。
このため、チェレンジレスポンスを普通に使用する①は、無線LANでは使用されず②を使用します。
③については、認証の通信自体が暗号化されます。

②については、以下のような手順で認証します。
1.サーバ側の証明書を受信し、認証局の公開鍵を使用し正当であるかどうかを判断します。
2.正当な場合サプリカントが、それまでのやり取りをを暗号化し署名としてサーバへ送信します。
3.サーバ側でサプリカントからの証明書が正当化どうかを判断し、正当な場合OKとなります。

■導入や運用はどうか?
まずRADIUSサーバが必要になりますが、オープンソースや製品など選択しがいくつかあります。
次に認証局が必要になります。
これは管理に細心の注意が必要なようです。(特にセキュリティ的な問題)
なのでパブリックな認証局を使用する方法もあります。

■認証装置(スイッチ)へハブを接続した場合は?
スイッチを認証装置に接続した場合は、EAPメッセージがそのスイッチで破棄されるため、認証を行うことができません。
これは、EAPメッセージがマルチキャストを使用しているためです。

次にリピータHUBを接続した場合は、その配下にあるクライアントの1台が認証に成功した場合、認証装置のポートが使用可能となるため、他のクライアントは認証なしでLANへ接続が可能となります。

DNSを利用したインターネットサービス?

2004-12-21 23:52:39 | NW_Magazin
日経NETWORKの記事で「インターネットの新サービスを知る」と言うのがありました。
この記事のPart4に「近い将来に登場する最先端の技術を先取り」と言うことでDNSを利用した以下、3つの「へー」と思うよな記事があったのでちょっとまとめ
・ENUM
・メールの送信者認証
・IPv6対応


■ENUM
ENUMとは、DNSの仕組みを利用して電話番号からいろいろな情報を引き出す技術のようです。
まず、仕組みについて
・逆引き用のドメインとしてe164arpaと言うドメインを使用
・NAPTRと言うレコードを使用
逆引きファイルを以下のように設定します。

---example---
電話番号が03-1234-5678の場合で上からsipを使用する場合、mailを使用する場合、faxを使用する場合のようになるようです。「へー」でNAPTRレコードの右に来る数値が優先度を表し、sipの次がmail、その次がfaxのように優先順位があり、クライアント側でこれをsipがダメだったらmailを使用するのような感じになる?らしいです。

8.7.6.5.4.3.2.1.3.1.8.e164.arpa NAPTR 10 sip:sipuser@exp.jp
8.7.6.5.4.3.2.1.3.1.8.e164.arpa NAPTR 20 mailto:mailuser@exp.jp
8.7.6.5.4.3.2.1.3.1.8.e164.arpa NAPTR 30 fax:03-1234-5678


■メールの送信者認証
仕組みとして主に2つの仕組みがあります。

①SPF(送信元メールサーバのアドレスと差出人のドメインを比較する方式)
②DomainKeys(デジタル署名を使う方式)

①について
1.DNSにユーザが使用するメールサーバのアドレスを登録
2.メールサーバがメールを受信する際に送信元アドレスが通知されるため、これよりドメドメインを判断しDNSに対しSPFを要求
3.送信元アドレスとSPFの内容を比較し条件が合えばOKとする。

②について
1.送信側メールサーバが受信メールに対してハッシュデータを作成
2.このデータを秘密鍵で暗号化し署名データとする。
3.メールのヘッダに追加し転送
4.公開鍵については、送信側のDNSサーバへ格納しておく
5.受信側メールサーバにて署名付きメールを受信した場合、DomainKeysを送信側とされるDNSへ要求
6.このDomainKeysで複合ができること、受信メールから作成したハッシュデータと署名データが一致することなどより、送信者の認証やメールの改ざんの有無を調べることがでます。
でも、メールサーバ的には処理負荷がかなりかかるようです。


■DNSのIPv6対応
DNSの仕様で以下のような条件があるそうです。

①やり取りするデータは512バイト以下
②1つのUDPパケットで運ぶ
(知りませんでした。)

で、IPv6の場合、データサイズが512バイトを超える可能性があるらしいです。
対策としては、ドメイン名を短くしたりしているようです。


この記事を最初の目にした時は、「何だDNSの仕組みか?」「どこが新サービスを知るなんだ?」と思ったのですが、結構「へー」って感じでしたIP電話が普及し始めているのでENUMなんかが、利用され始めるんでしょうね。
それと、インターネットの基本は、やっぱりDNSなんなと再認識したような気がしますね。

IPセントレックスってなんだ?

2004-11-15 01:55:46 | NW_Magazin
日経NETWORKの記事についてばかりの、ここごろですが
やっぱり興味深い記事が多いので、そうなっちゃいます。

で、IPセントレックスについての記事があったのでまとめました。
この中で、IPセントレックスを提供している事業者が、
加入電話を残すことを推奨していると言うことと、
その理由がわかったことが、sysmin的には一番の収穫かな?

■概要
・企業で使用するIP電話で、PBX的な役割を持つ。
・この機能を持つマシンをアウトソーシングする。
 (事業者がサービスとして提供する。)

■特徴
・IP電話機を使用しIPセントレックスサーバと連携。
・IP電話機は、LANへ接続。(IF:RJ-45)
・同一のIP電話網の場合、通話料が無料となるケースがある。

■プロトコル
・呼制御には、「SIP」というプロトコルを使用。
・音声伝送には、「RTP」というプロトコルを使用。
 --音声伝送の2つの種類--
 ⇒「G.711」:非圧縮方式
 ⇒「G.729」:圧縮方式

■シーケンス
①「INVITE」:相手の呼び出し。
②「Ringing」:呼び出し音を鳴らすためのメッセージをサーバを
 介してIP電話同士で交換。
(基本的にIP電話と同様)

■IPセントレックスとPBX
・RFCでは、比較的に単純なPBX機能(約20種類)のみが決められているのみで
 PBXの機能については700以上ある。
・この不足分の機能実現する方法として2種類が考えられる。
 ⇒独自プロトコル
 ⇒カスタマイズ

■構成
1.IP電話機を使用し、事業者のIPセントレックスサービスを受ける。
2.IP電話機とIP-PBXを導入する。
3.従来通りPBXを使用しゲートウエイを使用し音声をIPパケットへ変換する。


んーIP電話は、使用したことがあるので、そんなに問題を感じないのですが
企業内の電話をIPセントレックスにするのって、ビジネス的な影響が大きく関係するので
結構、勇気がいると言うか、チャレンジャのような気が・・

検疫ネットワークのしくみ

2004-11-07 01:23:03 | NW_Magazin
日経NETWORKの「話題の技術のここが知りたい」の記事です。
検疫ネットワークって言うと、今年に入ってよく聞くような気がしますね。
確かCiscoのCMもこんなテーマだったような気がします。

簡単に言うと社内LANへ接続するPCに対しセキュリティチェックを行う仕組みで
これによって、社内PCからのウイルス感染や、パッチなどのセキュリティホールのある
PCからのアクセスを防ぐシステムのようです。

この仕組みには、2つの機能があります。
①PCのアクセス先の振り分け
②PCのセキュリティ検査

==①について==
検疫前のPCが接続された際に、社内LANとは別の検疫ネットワークへ接続させ、
セキュリティチェック後OKの場合に社内LANへ接続させる機能です。

これについては、3種類の方法があります。
1.DHCPサーバ方式
 ⇒検査前と検査後でOKと判断されたPCへ異なるネットワークのアドレスを払い出します。
  
  問題点:アドレスが手動設定された場合の対策が必要になります。

2.認証スイッチ方式
 ⇒認証機能をスイッチが持ちます。
  認証の結果によってスイッチのポートなどを変更します。
  
  問題点:PCにエージェントをインストールしなければならない場合があります。
      PCを直接収容するスイッチを全て認証機能付きのものとしなければなりません。 
      Radiusサーバと連携する仕組みもあります。

3.パーソナルファイアウォール方式
 ⇒PCで動作するポリシを入れ変えます。
  検疫サーバとエージェントが連携しLAN接続時には、
  検疫ネットワークのみへ接続するポリシを適用します。
  次に、セキュリティチェックリストと社内LANアクセス用のポリシをダウンロードし
  チェック実施をOKならば、ダウンロードしたポリシを適用します。

  問題点:PCにエージェントをインストールしなければならない場合があります。

==②について==
2つの方法があります。

1.検疫サーバからチェックリストを取得しPC側で検査する方法

2.PCの情報をサーバ側へ渡し、サーバ側で検査する方法


んーいずれにせよ社内LANに接続する前にセキュリティが確保できなければならないってことは、
検疫ネットワークへ接続してパッチなりパターンファイルなりが
ダウンロードできなけならないと言うことか?

①の方式どれをとってもアナがありそうな気がします。
たとえば、
・PCへ電源を入れっぱなしの人がいた場合(何日も社内LANに接続されっぱなし)
・パーソナルファイアウォールが止められていたまたは、起動しなかった場合

でも社内ネットワークは、こんな風にセキュリティの高いものになっていくんでしょうね。
いろいろ改善されながら・・
使いにくくならなければいいですね。

IP-VPNの主な方式

2004-09-08 23:51:17 | NW_Magazin
今月の日経NETWORKの記事にあったIP-VPNサービスについて
読んだのでちょっとだけまとめ

■IP-VPNの主な実現方式
①MPLS
②仮想ルータ方式
③L2TP
④IPsec

この記事にもありましたが、主流は①のようですね。
その他、②は、あまりよく分からんって感じ
③は、東西NTTのサービス「フレッツ」で使用されています。
④はどちらかというとインターネットVPNで使用するイメージがありますね。

んーMPLSか、ちゃんと理解しておこう・・あとで

今後の送信者認証のしくみ

2004-09-05 14:37:10 | NW_Magazin
日経NETWORKに今後の迷惑メール対策が載ってました。

Sysminの場合、迷惑メールと言うと携帯へのメールが一番多いですね。
タイトルですぐわかるので、すぐ削除するのですがめんどくさいですね。
でも数年前に比べるとかなり減った気がします。(Sysminだけか?)

で、
・迷惑メールが総メールの80%を占める場合があり、処理能力と帯域が消費される
・「フィッシング」なる詐欺メールによってクレジットカード情報などが知られてしまう
 ケースがあるよです。

「フィッシング」:個人情報の更新を促すメールで、詐欺サイトへ誘導し入力させるようなものだそうです。
Sysminもネットでクレジットカードなどよく使用するので気を付けよっと!

そういったメールへの対策を送信者認証というしくみで行うようになりそうです。
これには、2つの方法があるようです。

①Sender ID
②DomainKeys

①について
1.DNSサーバに自ドメインを使用するメールサーバのIPアドレスリストを格納します。
2.メール受信者は、差出人のドメイン名から、そのドメインを管理するDNSサーバへ
 送信元IPアドレスリストを問い合わせアドレスをチェックします。(リストにあればOK)

欠点:メールが自動転送されるような場合に「差出人」の正当性が判断できない。

②について
1.送信者があらかじめ、DNSサーバに認証に利用する公開鍵を格納します。
2.メール送信時に自分の秘密鍵で作成したディジタル署名を付けます。
3.メール受信者は、差出人ドメインのDNSへ問い合わせを行い公開鍵を入手します。
4.ディジタル署名が解読できればOKとなります。

欠点:メーリングリストなどでは、内容が一部書き換えられるので署名が有効ではなくなる。

個人的には②は、面倒な感じがしますね。
でも、なくなればいいなー迷惑メール!
でもイタチゴッコはつづくでしょう・・

nslookupコマンド

2004-09-04 05:12:10 | NW_Magazin
日経NETWORKの誌上スクールにnslookupに使い方についての記事がありました。
いつもは、さらっと目を通す程度なのですが、
今回はsetコマンドがのっていたのでちょっと実践とメモ、メモ・・

■setコマンドのオプション
・all:DNSサーバがサポートしているコマンド一覧表示
・timeout=X:問い合わせタイムアウト時間の指定
・server NAME
・type=X:問い合わせたい情報の種類を指定
⇒A:ドメイン名からIPアドレスを調べる
⇒CNAME:ドメイン名の別名を調べる
⇒MX:メールサーバを調べる
⇒NS:DNSサーバを調べる
⇒PTR:IPアドレスからドメイン名を調べます
⇒SOA:ドメインの管理情報を調べます


======以下、やってみたログ======
ISPはぷららなのでDNSもぷららを使っています。

C:\>nslookup
Default Server: nsh1.plala.or.jp
Address: 218.47.162.1

> set type=NS
> nikkeibp.co.jp
Server: nsh1.plala.or.jp
Address: 218.47.162.1

Non-authoritative answer: ←これがキャッシュからの回答を表します。
nikkeibp.co.jp nameserver = ns.biztech.co.jp
nikkeibp.co.jp nameserver = ns1.iij.ad.jp
nikkeibp.co.jp nameserver = bpwww.nikkeibp.co.jp
> set type=MX
> nikkeibp.co.jp
Server: nsh1.plala.or.jp
Address: 218.47.162.1

Non-authoritative answer:
nikkeibp.co.jp MX preference = 30, mail exchanger = bpshield.nikkeibp.co.jp
nikkeibp.co.jp MX preference = 50, mail exchanger = bpns1.nikkeibp.co.jp
nikkeibp.co.jp MX preference = 70, mail exchanger = bpns2.nikkeibp.co.jp
>
> set type=PTR
> 218.47.162.1
Server: nsh1.plala.or.jp
Address: 218.47.162.1

Non-authoritative answer:
1.162.47.218.in-addr.arpa name = nsh1.plala.or.jp
>
> type=SOA
Server: nsh1.plala.or.jp
Address: 218.47.162.1

*** nsh1.plala.or.jp can't find type=SOA: Non-existent domain
>